首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:福州大学

摘要:本发明涉及一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法,包括:对数据集进行预处理,通过泊松编码转换成对应的脉冲序列,接着构建对应数据集的替代网络,将该网络作为一个原始分类器;然后将原始分类器编码生成的脉冲序列和原始样本输入到筛选器中筛选出最佳脉冲;接着将所选择的脉冲和原始图像输入到对抗样本生成网络,该对抗样本生成网络是基于原始分类器,通过以脉冲为概率,生成服从均匀分布的噪声,从而生成初始的对抗样本;再将对抗样本不断迭代优化,最终对抗性样本。本发明能够为安全防御的研究人员提供针对脉冲神经网络生成低成本的对抗性攻击工具。

主权项:1.一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法,其特征在于,包括以下步骤:步骤A:对输入的图像X进行预处理,在脉冲神经网络的自编译器Fenc中利用泊松编码转换将其转换成脉冲数据格式的序列γ=γ1,γ2,…,γT,其中T为仿真时间步长;步骤B:基于脉冲神经网络,利用所收集的标注数据集迭代更新网络参数直至收敛,完成模型的训练,得到训练好的若干数据集的脉冲神经网络分类器;步骤C:将对抗性样本的生成转化为具有约束的优化问题,在进行攻击时,首先为生成的扰动进行对应的问题描述;步骤D:基于原始图像X和相对应的脉冲序列γ中选择出的脉冲γc,通过转换函数gX,γc和目标函数JfXadv,y生成初始的对抗性样本;步骤E:通过构建筛选器从脉冲序列γ筛选出脉冲γc;步骤F:基于动量迭代的随机梯度下降算法SGD进行N次迭代更新,优化目标函数,生成对抗性样本Xadv;步骤G:利用当前迭代生成的对抗性样本Xadv输入到搭建好的脉冲神经网络分类器f和未知的黑盒分类器f′评估攻击是否有效;所述将对抗性样本的生成转化为具有约束的优化问题,在进行攻击时,首先为生成的扰动进行对应的问题描述,具体为:步骤C1:进行对抗性攻击时将攻击问题分成两类,一类为有目标攻击,另一类为无目标攻击;其中无目标攻击可将问题转化为最大化如下优化问题:其中K’是类别数,fKX是分类器将输入的X预测为K;有目标攻击将问题转为最小化如下优化问题: 其中有目标攻击需要所生成的对抗样本输出的结果是攻击者期望的分类结果一致,因此需要最小化分类器fKXadv与类别y*之间的距离;步骤C2:将优化问题转换到优化脉冲神经网络可替换目标函数,无目标攻击转化为求最大化可替换损失函数:argmin-JfXadv,y有目标攻击转化为求最小化可替换函数:argminJfXadv,y*通过优化不同类型的目标函数从而生成攻击者所需要的对抗性样本Xadv;步骤C3:对所产生的扰动进行限制,利用p范数作为约束条件||X-Xadv||p≤ε;所述步骤D,具体包括如下步骤:步骤D1:导入训练好脉冲神经网络分类器;步骤D2:基于原始图像脉冲序列,构建扰动生成函数:gX,γc=ClipX+η*γc,0,1其中常数η是用于加速迭代中收敛的预设常量,生成的扰动大小规定在[0,1]范围;步骤D3:将生成的扰动和原始图像结合形成对抗性样本;步骤D4:设置目标函数来优化生成扰动的人眼不可见性:JX,Xadv=LfX,y+β||X+η*γc||2其中LfX,y是原脉冲网络分类器的损失函数,为增加扰动在最终损失函数中的权重,并利用L2范数约束条件||X-Xadv||2≤ε来限制扰动大小;所述步骤E,包括以下步骤:步骤E1:计算脉冲序列中每一个序列值s=s1,s2,…,sT,计算公式为: 其中i=1,2,…,T;步骤E2:计算每个脉冲γi预生成扰动大小值L2记为ω=ω1,ω2,…,ωi;步骤E3:在选择最佳的脉冲时优先考虑小的扰动大小值,修改信息量多的脉冲值,利用优先队列函数:Priority_spikeω,s=priority_queueω,s其中Priority_spikeω,s={ω1,s1,ω2,s2,…,ωT,sT},T=1,2,…,T,此处的序列是经过按照最小扰动最大脉冲优先进行重新排序,最终选择出第一个序列ω1,s1对应的脉冲γc。

全文数据:

权利要求:

百度查询: 福州大学 以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。